CentOS7.3 SAMBA-4.6.5のパスワードポリシー設定

シェアする

SAMBA-4.6.5で構築したADDC環境での、ユーザー作成時のパスワードポリシーの設定方法です。

パスワードポリシーの設定確認

ADDCサーバー上で、samba-toolコマンドを利用して参照する事が可能です。

# samba-tool domain passwordsettings show
Password informations for domain 'DC=orangetakam,DC=local'
 
Password complexity: on
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 42
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30

出力された内容の意味は、下記の通りです。

項目 説明 
Password complexity  パスワードの複雑性を強制するかどうか
(英数字記号混在、3文字以上、ユーザ名を含まない)
Store plaintext passwords パスワードを平文のまま保存するかどうか
Password history length 過去のパスワードを保存世代数
Minimum password length  最小のパスワード長
Minimum password age  パスワードの変更禁止期間 (単位:日)
(0で即変更可)
Maximum password age パスワード有効期間 (単位:日) (0で無期限 )
Account lockout duration 試行回数分のパスワード間違い時のロック期間 (単位:分)
Account lockout threshold パスワード間違い時のロックまでの試行回数 (単位:回)
(0でロックしない) 
Reset account lockout after パスワード試行回数がリセットされるまでの期間 (単位:分)

パスワードポリシーの変更

パスワードポリシー「全部のせ」の設定変更です。

# samba-tool domain passwordsettings set \
--complexity=on \
--store-plaintext=on \
--history-length=24 \
--min-pwd-length=8 \
--min-pwd-age=1 \
--max-pwd-age=90 \
--account-lockout-duration=60 \
> --account-lockout-threshold=5 \
--reset-account-lockout-after=5
Password complexity activated!
Plaintext password storage for changed passwords activated!
Password history length changed!
Minimum password length changed!
Minimum password age changed!
Maximum password age changed!
Account lockout duration changed!
Account lockout threshold changed!
Duration to reset account lockout after changed!
All changes applied successfully!
# samba-tool domain passwordsettings show
Password informations for domain 'DC=orangetakam,DC=local'
 
Password complexity: on
Store plaintext passwords: on
Password history length: 24
Minimum password length: 8
Minimum password age (days): 1
Maximum password age (days): 90
Account lockout duration (mins): 60
Account lockout threshold (attempts): 5
Reset account lockout after (mins): 5

もちろん、「全部のせ」でなくとも設定変更は、可能です。

# samba-tool domain passwordsettings set --history-length=4
Password history length changed!
All changes applied successfully!